Hakerzy mogą ominąć filtry antyspamowe i uwierzytelniania wiadomości

Computer Security News

E-mail źródła fałszowanie, omijanie filtrów spamu i zabezpieczeń, takich jak domeny based Message Authentication, Reporting and zgodności (DMARC), reprezentowana przez testy penetracyjne Sabri Haddouche, stwarzających zagrożenie dla użytkowników, którzy uruchomić podatne i klient poczty bez poprawki.

Tester znajduje się że ponad 30 klientów poczty, takich jak Thunderbird, Apple Mail, różnych klientów systemu Windows, Yahoo! Mail, ProtonMail i inne, spartaczył ich implementacji RFC starożytnych, co pozwala hakerów, aby oszukać oprogramowanie do wyświetlanie sfałszowanej od pola, pomimo faktu, że serwer widzi prawdziwego nadawcy.

Innymi słowy w przypadku, gdy serwer jest skonfigurowany do używania uwierzytelniania DMARC, Framework(SPF) zasad nadawcy lub domeny klucze Identified Mail (DKIM), to potraktuje wiadomość jako legit, nawet jeśli jest binned spamu.

Z drugiej strony RFC jest RFC 1342, “Reprezentacja z Non-ASCII tekst w Internecie nagłówków wiadomości” i to, co się Haddouche, jest błąd wykonania, które klientów poczty i www poczty interfejsów nie poprawnie sanitise ciąg znaków spoza zestawu ASCII po dekodowaniu.

Według Haddouche, osadzanie można użyć albo =? utf-8? b? [BASE-64]?= or =?utf-8?Q?[QUOTED-PRINTABLE]? = do osadzania.

Na przykład, Apple Mail jest karmione następujące:

z: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? ==? utf-8? Q? = 00? ==? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

Dwóch kwestii tutaj:

  • iOS ma błąd wtrysku bajt null, więc ignoruje wszystko po tym bajtów i pokazuje potus@whitehouse.gov jako nadawcy;
  • MacOS macOS ignoruje bajt null, ale zatrzyma się po pierwszym zdrowy poczta elektroniczna, to widzi (ze względu na błąd w parser).

Sabri Haddouche zwany błąd “Mailsploit” i pod warunkiem, pełną listę zagrożonych klientów.

Mailsploit ma inny niedobór – niektóre problemy systemów biletowych (R2pomoc, osTicket i domofon) podlegają również błąd. Poza tym w wielu podmiotów wysyłających przesyłki, błąd można wykorzystać także dla cross-site scripting i kod ataki.

Dostawców, którzy Haddouche skontaktował się połatany albo dostał do pracy na patcha, mimo że Mozilla i Opera może być problem po stronie serwera i Mailbird “ZAMKNIĘTA bilet bez odpowiedzi”.


Leave a Reply

Your email address will not be published. Required fields are marked *